ld50Предприятие содержит 15 компов.

У пользователя "ПК-5" на рабочем компе установлен дополнительный винт, который используется как сервер - для хранения общих документов.

Такая схема колхозилась на протяжении 15 лет


2. Что даст вынесение сервера с пользовательского ПК на отдельный комп?
Нужны весомые аргументы, ибо выбить место под сервер и сам комп в моем случае сложно, но возможно.
Вообще потребность в сервере неоднозначная - предприятие работает в одну смену. Сервер придется утром включать, вечером выключать...

Я свои мысли вслух изложу.
Перед Вами стоит задача обеспечить отказоустойчивость системы и сохранность данных. RAID - это лишь физическая устойчивость, это не сохранность. Вирус-шифровальщик это легко доказывает.
Выделенный сервер - тоже не выход из положения. Серверное железо всегда дороже обычного десктопного. В рамках Вашей небольшой фирмы - это не нужно, на мой взгляд.

Вы уже пошли верным путем, когда для хранения общих документов задействовали один из рабочих компов.
Я бы предложил такую схему.
Выделенный NAS под файлы это хорошо, но это схема в себе. Как на войне - унификация вооружения позволяет снять патроны и гранаты с тела убитого товарища и воевать дальше. Каждый Ваш ПК - это донор запчастей для "соседей", смотрите на это под таким ракурсом.

Следовательно. 2 ПК с Windows Server лицензиями, остальные обычные Windows. На каждом из двух - software RAID-1 (зеркало) из самых емких дисков, которые есть в продаже (2-3-4 Тб). СРАЗУ меняете на этих ПК штатный кулер на CPU на нормальный башенный вариант и пасту на CPU, без вариантов.
Оба ПК под работу тем пользователям, которые раньше всех приходят и позже всех уходят.
ОБА ПК на UPS. Без вариантов. Тут экономить нельзя.

Далее - на одном из таких сооружается файловая помойка на всю фирму, на другом делается каталог с ограничением по размеру и резервными копиями только нужных файлов по дням недели револьверно - от понедельника до воскресенья.
Бэкапится не только первый ПК, но и ВСЕ важные документы со всех оставшихся 13 ПК.
Файлы тупо переписываются поверх существующих. Можно периодически стирать самые старые.

Далее программа-батник считает на каталоге текущего дня и каталоге предыдущего дня после завершения бэкапов контрольные суммы на одинаковые файлы, если огромное количество поменялось - тревога, у Вас завелся вирус-шифровальщик, срочно останавливайте процесс ежедневного бэкапа, а потом разбирайтесь, в каком из каталогов от понедельника до восресенья еще нормальные файлы.
Каждый понедельник вечером подсоединяете съемный HDD в USB BOX ко второму ПК-серверу и копируете поверх все 7 каталогов.
И физически отсоединяете и убираете в сейф до следующей недели.

Вот такой вот нехитрый алгоритм...

ld50,

И далее. Если физически сгорает вместе с материнской платой ПК-сервер1, то оба диска переносите на ПК-сервер2 (для этого Вам нужно одинаковое железо). Никаких RAID-контроллеров или Fake-Soft контроллеров на материнской плате. Только зеркало методами Windows. Оно таки вполне кошерный вариант, живет под нагрузкой, проверено.
А под бэкап становится один из оставшихся 13 ПК, куда переезжают оба диска с ПК-сервер2.
Минимум изменений и простоя в работе.

Что касается одного или нескольких роутеров/коммутаторов - исходите из того, что один любой сгорит завтра, а второй любой через неделю. Из этого расчета лучше 10 средних, чем 2 супердорогих и надежных. Бросок напряжения в сети, замыкание блока питания для роутера - и вот дорогая штуковина стала предметом на выброс на помойку...

ld50Чтобы не плодить схожих тем, подскажите какие основные права давать/забирать у юзеров в политике windows 7 для нормальной работы (безопасность+отвутствие возмущений в ущемлении).
Щас все юзеры работают под админами. Знаю, что это лютейшая дичь, но пока фартит.
Коллега, я тоже напишу дичь, но Вы таки послушайте.
Вы исходите из того, что есть некая абстрактная идеальная ось, и если мыть руки - то заразу занести нереально. Достаточно отобрать права админа и поставить антивирус - и все будет хорошо.
Не будет. Посмотрите количество дыр в операционках. Разве что OpenBSD держится молодцом, за счет того, что Тео де Раадт повернут на безопасности в хорошем смысле этого слова.
Все остальное - проходной двор. Да и что есть операционка с ее правами - просто пускалка приложений.

Идите от обратного. Вместе с директором составьте список угроз и методы реагирования.
Главбух Марья Ивановна занесла на флешке криптор и зашифровала все свои файлы - ей объявляется, что она не виновата, но потеряет день рабочего времени, далее из бэкапа на диск C накатывается чистая винда с установленным Office и 1С и драйверами принтеров, из каталога на другом ПК обратно копируются все ее файлы и настройки.
Главбух Марья Ивановна работала - на компе сгорела материнская плата (заметьте, админских прав нет, все замечательно - а работа стоит все равно). Она пересаживается за комп Леночки, а Леночка достает свой планшетик и пока читает статьи в интернете. Пока новый компьютер для Марьи Ивановны не приехал.

То есть пусть запускают что хотят. Работайте так, как будто через 2 минуты комп любого пользователя - включая гендира - вырубится навсегда, Вы достанете запасной, развернете из резервной копии его вчерашние файлы и настройки и скажете "пауза в работе завершилась, прошу продолжать процесс"...

Sergey OrlovКупить дисковое пр-во на яндексе или майле и купить утилиту, которая туда будет складывать бэкпаы, хоти с сервера хоть с рабочей станции...
Я бы дополнил и развернул эту мысль.
Пока файлы физически лежат на ПК - их вынести к конкурентам на флешке можно, но это потенциальный залет, можно за руку поймать и наказать. И любой пользователь это знает.
А когда все на блюдечке с золотой каемочкой лежит где-то в облаке - то можно втихаря хоть терабайтами качать налево и продавать конкурентам.
Поэтому начинать нужно с обсуждения с гендиром. Он покупает кнопочный мобильник и вторую симку, на нее регистрирует ящик, к ящику подвязывается яндекс-диск или мейл-ру диск или гугл драйв.
Пароль от ящика знают только гендир и сисадмин. Только. Он его пишет на бумажке, кладет в конверт и далее в сейф. Потому что память - это дело такое.
Далее - сисадмин настраивает запаковку файлов в архив с паролем. Пароль стандартный от архивов знают только гендир и сисадмин. Опять таки на бумажку в конверт и в сейф.
И далее - когда настраивается резервное копирование зашифрованных архивов в сетевой диск - пароль вписывает сисадин (если гендир впишет, а сисадмин отвернется - он все равно его хотя бы кейлоггером себе запишет).

Все. Знают двое и точка. И эти 2 пароля НИКОГДА не используются больше нигде. Ни на локальных учетках админских, ни от кабинета провайдера проводной сети, НИГДЕ ЕЩЕ.

Ivan_Pisarevskyld50Если реализовать автоматическое создание бэкапов, которые будут падать в особую папку, после завершения бэкапа на папку автоматом навешивать запрет в свойствах безопасности?папка на том же накопителе и том же сервере, что и данные - это не бэкап, это самообман.

Я коллеге расписал полностью от и до схему с двумя ПК-серверами и копированием по сети всей нужной информации револьверно в каталоги по дням недели. И по понедельникам на съемный USB диск и в сейф.
Он думает, что можно так навороченно не делать, а просто галочку ставить - и возиться с физически не подключенным постоянно съемным диском.
Может быть, ему лень каждую неделю доставать из сейфа, подключать, ждать окончания копирования, отключать и убирать.

Если он не штатный сисадмин, а программист с горящим сердцем, если у него в обязанности это не записано - я бы на его месте бэкапил только свой ПК , а остальное - да пусть криптуется, директор умнее и щедрее станет.

lionsatmanНасчёт облаков, я бы поостерёгся, это уже из известной мне практики других компаний.

Кстати, да - малейшее подозрение, что в гугл-драйве лежит схема боевых отравляющих веществ или нестандартная порнография - и гугл может легко и непринужденно заблокировать аккаунт, а это полная утрата доступа ко всем файлам.
То же самое и прочие корпорации.
Разве что хранить яйца в разных корзинах и сливать последовательно сначала в ГуглДрайв, затем в ЯндексДиск, затем в МейлОблако и так далее. Но это все на усмотрение "доброго дяди". Который может прибить аккаунт, а может и не прибивать. Лотерея.